ZDNET
Ikuti ZDNET: Tambahkan kami sebagai sumber pilihan di Google.
**Kesimpulan Penting ZDNET**
– Kerentanan WhisperPair berdampak pada protokol untuk menghubungkan perangkat dan produk audio.
– Penyerang dapat mengambil alih perangkat audio, mengutak-atik kontrol, dan berpotensi menyadap percakapan Anda.
– Banyak vendor telah merilis patch, tetapi beberapa perangkat masih rentan.
Para peneliti telah mengungkap WhisperPair, serangkaian kerentanan yang berdampak pada protokol yang umum digunakan untuk memasangkan headphone, earbud, dan produk audio lainnya dengan perangkat Bluetooth.
Apa Itu WhisperPair?
Sebagaimana pertama kali dilaporkan oleh Wired, WhisperPair ditemukan oleh tim peneliti dari Universitas KU Leuven Belgia, dengan dukungan Program Penelitian Keamanan Siber pemerintah.
Temuan ini berkaitan dengan implementasi yang tidak tepat dari protokol Fast Pair milik Google, yang memungkinkan pemasangan satu ketuk dan sinkronisasi akun di berbagai aksesori Bluetooth. Jika protokol tidak diimplementasikan dengan benar, sebuah celah keamanan muncul yang “memungkinkan penyerang membajak perangkat dan melacak korban menggunakan jaringan Find Hub Google,” menurut para peneliti.
Juga: Bagaimana serangan Copilot satu-klik ini lolos dari kontrol keamanan – dan tanggapan Microsoft
Penelitian kerentanan ini dilaporkan ke Google secara privat pada Agustus 2025 dan diberi peringkat kritis di bawah CVE-2025-36911. Masa pengungkapan 150 hari disepakati dan hadiah bug sebesar $15.000 diberikan.
Bagaimana WhisperPair Bekerja?
WhisperPair terjadi karena banyak aksesori audio melewatkan “langkah kritis” selama pemasangan Fast Pair. Beginilah cara kerjanya: sebuah “pencari” — seperti perangkat seluler yang mendukung Bluetooth — mengirim pesan ke “penyedia”, yaitu aksesori audio. Pesan tersebut berisi permintaan pemasangan.
Sementara protokol Fast Pair menentukan bahwa pesan ini harus diabaikan ketika aksesori tidak dalam mode pemasangan, pemeriksaan ini tidak selalu dilakukan, sehingga memungkinkan perangkat yang tidak sah memulai pemasangan tanpa izin.
Juga: Earbud terbaik tahun 2026: Diuji dan diulas oleh ahli
“Setelah menerima balasan dari perangkat yang rentan, penyerang dapat menyelesaikan prosedur Fast Pair dengan membangun pemasangan Bluetooth reguler,” ujar para peneliti.
Apa yang Dapat Dilakukan WhisperPair?
Jika penyerang dapat memasangkan perangkat pencarinya secara diam-diam dengan headphone atau earbud yang rentan, mereka bisa mendapatkan kendali penuh atasnya, termasuk mengutak-atik kontrol seperti volume. Yang lebih penting, mereka mungkin dapat merekam percakapan secara diam-diam menggunakan mikrofon bawaan.
Serangan WhisperPair diuji pada jarak hingga 14 meter dan dapat dilakukan secara nirkabel.
Juga: 8 produk audio di CES 2026 ini sangat mengesankan, sampai saya harus mendengarnya dua kali
Sayangnya, tidak berhenti di situ. Jika sebuah perangkat mendukung tetapi belum terdaftar ke jaringan Find Hub Google, penyerang secara teoritis dapat mendaftarkan perangkat target tersebut ke akun mereka sendiri dan melacak aksesori — serta penggunanya. Meskipun notifikasi pelacakan tak terduga akan muncul, hanya perangkat pengguna sendiri yang akan ditampilkan — sehingga peringatan ini mungkin diabaikan.
Perangkat Apa Saja yang Terdampak?
Headphone dan aksesori audio dari perusahaan termasuk Google, Sony, Harman (JBL), dan Anker termasuk yang tercatat sebagai rentan pada saat penulisan ini.
Karena WhisperPair mengeksploitasi celah dalam implementasi Fast Pair di aksesori Bluetooth, perangkat Android bukan satu-satunya yang berisiko. Pengguna iPhone dengan aksesori rentan juga terdampak.
Bagaimana Saya Tahu Apakah Perangkat Saya Rentan?
Tim peneliti telah menerbitkan katalog headphone, earbud, dan aksesori audio populer lainnya yang telah diuji. Ada fungsi pencarian berguna yang dapat Anda gunakan untuk memeriksa apakah produk Anda ada dalam daftar: telusuri atau masukkan nama vendor untuk melihat status produk yang Anda minati, dan direktori akan menunjukkan apakah produk tersebut rentan terhadap serangan WhisperPair.
Apa yang Harus Saya Lakukan Selanjutnya?
Jika aksesori Anda masih dilabeli sebagai rentan terhadap serangan ini, pertama-tama periksa apakah ada patch dari vendor yang tersedia. Bahkan jika perangkat Anda dideskripsikan sebagai ‘tidak rentan’, Anda tetap harus meluangkan waktu untuk memastikannya diperbarui dan telah menerima pembaruan perangkat lunak terbaru.
Sebagaimana dicatat peneliti, “satu-satunya cara untuk mencegah serangan WhisperPair adalah dengan menginstal patch perangkat lunak yang dikeluarkan oleh pabrikan.” Anda dapat memeriksa aplikasi atau situs web vendor pendamping untuk melihat apakah ada yang tersedia, tetapi jika tidak, sayangnya, ini hanya soal menunggu. Jika aksesori Anda mendukung Find Hub tetapi belum dipasangkan dengan perangkat Android, tim mengatakan penyerang dapat “melacak lokasinya,” sehingga harus diperbarui segera setelah perbaikan tersedia.
Juga: Alasan saya selalu membawa 4 pasang headphone ini dan peran unik masing-masing
Bahkan jika Anda dapat menonaktifkan Fast Pair di ponsel cerdas Anda, ini tidak akan mengurangi risiko kompromi.
“Sepengetahuan kami, aksesori yang kompatibel memiliki Fast Pair diaktifkan secara default tanpa opsi untuk menonaktifkannya,” tambah para peneliti. “Satu-satunya cara untuk mencegah serangan WhisperPair adalah dengan melakukan pembaruan firmware pada aksesorinya.”